Fileless malware oculto en los registros de eventos
Los investigadores han descubierto una campaña maliciosa que utiliza una técnica nunca antes vista para plantar silenciosamente malware sin archivos en las máquinas de destino.
La técnica consiste en inyectar shellcode directamente en los event logs de Windows. Esto permite a los adversarios utilizarlos como un disfraz para los troyanos maliciosos de última etapa, según un informe de investigación de Kaspersky publicado recientemente.
“Consideramos que la técnica de event logs, que no hemos visto antes, es la parte más innovadora de esta campaña”, escribió Denis Legezo, investigador principal de seguridad del Equipo de análisis e investigación global de Kaspersky.
Los atacantes usan una serie de herramientas de inyección y técnicas anti-detección para entregar la carga de malware. “Con al menos dos productos comerciales en uso, además de varios tipos de RAT (remote access trojans) de última etapa y anti-detection wrappers, el actor detrás de esta campaña es bastante capaz”, escribió Legezo.
La primera etapa del ataque implica que el adversario lleve a los objetivos a un sitio web legítimo y los incite a descargar un archivo .RAR comprimido con trampas cazabobos con las herramientas de prueba de penetración de red, llamadas Cobalt Strike y SilentBreak. Ambas herramientas son populares entre los atacantes, que las utilizan como vehículo para entregar shellcode a las máquinas de destino.
Luego, los atacantes pueden aprovechar Cobalt Strike y SilentBreak para "inyectar código en cualquier proceso" y pueden inyectar módulos adicionales en los procesos del sistema de Windows o aplicaciones confiables como DLP (Data Loss Prevention).
La capacidad de inyectar malware en la memoria del sistema lo clasifica como sin archivos (fileless). Como sugiere el nombre, el malware sin archivos infecta sus objetivos sin dejar rastros en el disco duro local, lo que facilita eludir las herramientas forenses y de seguridad basadas en firmas tradicionales. La técnica, en la que los atacantes ocultan sus actividades en la RAM de una computadora y usan herramientas nativas de Windows como PowerShell y Windows Management Instrumentation (WMI), no es nueva.
Sin embargo, lo que sí es nuevo es cómo el shellcode encriptado que contiene la carga útil maliciosa se incrusta en los registros de eventos de Windows. Para evitar la detección, el código “se divide en bloques de 8 KB y se guarda en la parte binaria de los event logs”.
“El wer.dll soltado es un cargador y no haría ningún daño sin el shellcode oculto en los registros de eventos de Windows”, continúa. “El dropper busca en los registros de eventos los registros con la categoría 0x4142 (“AB” en ASCII) y que tienen el Servicio de administración de claves como fuente. Si no se encuentra ninguno, los fragmentos de shellcode de 8 KB se escriben en los mensajes de registro de información a través de la función API de Windows ReportEvent() (parámetro lpRawData)”.
A continuación, se coloca un iniciador en el directorio de tareas de Windows. “En el punto de entrada, un subproceso separado combina todas las piezas de 8 KB antes mencionadas en un shellcode completo y lo ejecuta”, escribió el investigador.
“Tal atención a los event logs en la campaña no se limita al almacenamiento de shellcodes”, agregaron los investigadores. “Los módulos Dropper también parchean las funciones API nativas de Windows, relacionadas con el seguimiento de eventos (ETW) y la interfaz de escaneo antimalware (AMSI), para hacer que el proceso de infección sea más sigiloso.
Usando este enfoque sigiloso, los atacantes pueden entregar cualquiera de sus dos troyanos de acceso remoto (RAT), cada uno de ellos una combinación de código personalizado complejo y elementos de software disponible públicamente.
Lo mejor que pueden hacer los analistas es profundizar en las tácticas, técnicas y procedimientos (TTP) de los atacantes y el código que escriben. Si esos TTP o ese código se superponen con campañas anteriores de actores conocidos, podría ser la base para incriminar a un sospechoso.
En este caso, los investigadores encontraron difícil la atribución.
Eso es porque, más allá de la técnica sin precedentes de inyectar shellcode en los registros de eventos de Windows, hay otro componente único en esta campaña: el código en sí. Si bien los dropper son productos disponibles comercialmente, las anti-detection wrappers y las RAT con las que vienen se fabrican a medida.
Según el informe, "el código es bastante único, sin similitudes con el malware conocido". Por esa razón, los investigadores aún tienen que determinar la identidad de los atacantes.